[发明专利]一种信息安全控制措施的效能分析方法

说明书

本发明公开了一种信息安全控制措施的效能分析方法，用于考查信息安全控制措施的落实情况。该方法基于信息安全控制措施的效能分析模型，考察信息安全工作实施过程中使用安全控制措施的效能。该模型包括，根据制定的信息安全控制目标，确定效能分析测量对象集合、测量指标集合、测量方法集合和测量目标值集合；使用测量方法对测量对象的测量指标进行分别测量，记录并计算测量结果、符合性参数和有效性参数；基于符合性参数、有效性参数和措施符合性阈值，通过效能分析模型考察信息安全控制措施的效能。

技术领域

本发明涉及计算机领域，具体涉及一种信息安全控制措施的效能分析方法。

背景技术

随着信息技术的飞速发展，信息安全问题也层出不穷，给信息安全保障能力带来了极大的挑战。如何建设体系化的信息安全管理体系，以及如何评估其采取的相关措施是否有效，是企业在信息化进程中所面临的巨大挑战。依赖于信息安全风险评估来建设信息安全管理框架，开展全面且持续改进的信息安全工作，已成为业界的主流做法。对安全控制措施进行有效性测量和分析，是考察信息安全工作是否达到既定目标的重要手段。

有很多组织在研究和制订相关的信息安全标准，ISO/IEC是信息安全领域最具权威的国际标准化组织。其发布了若干标准，其中ISO27000是建立和实施信息安全管理体系的可靠依据。IEC27000的内容是对该系列标准的详细情况进行说明，包括概况、状态和关系，同时规定了该系列标准的相关术语。而ISO 27001是此系列的主标准，该标准建立风险评估识别信息安全控制措施点，采用PDCA(即Plan Do Check Action)的过程控制方法，在PDCA过程控制中，组织可以通过控制措施点，选择和使用适合的法规和制度，来管理生产运行过程中影响信息安全的风险和因素。

当前，对信息安全管理开展的大多数研究工作，都是基于ISO27001的信息安全管理体系，提出一套适合组织自身业务特点的信息安全管理体系建设方法。然而，关于如何考察信息安全控制措施的落实情况或者效能分析的内容描述较少。而且已有的大多基于证据理论、灰色层次模型等技术来建立对应的信息安全管理度量的数学模型，用于计算相应的风险值，其实施过程较为复杂，缺乏扩展性，难以进行具体操作。

发明内容

一种信息安全控制措施的效能分析方法，是基于信息安全控制目标构建安全控制措施的测量指标，对测量指标及其测量结果进行符合性和有效性分析，从而纠正和改进信息安全控制措施，该方法可以削弱主观因素的影响、提高效能分析结果实用性。该方法的特征主要包括以下步骤：

(1)确定测量对象O_i、效能分析指标I_i和测量目标值T_i，并记录在数据库中：基于PDCA过程模型，结合组织开展信息安全实施过程，信息安全控制措施效能分析包括符合性检查和有效性测量。首先，确定测量对象O_i、效能分析指标I_i和测量目标值T_i，并记录在数据库中；然后，根据不同的效能分析指标I_i，使用对应的方法F_i进行测量，并构建测量结果R_i；其次，基于测量结果R_i与测量目标值T_i进行测量结果与目标值分析得到符合性检查结果c_i；再次，基于符合性检查结果c_i进行年度间测量结果分析，得到有效性测量结果u_i，j；最后，根据业务特点给出阈值φ来表示目标的达到率，并基于符合性u_i，j和有效性结果c_i，1，判断得出安全控制措施效能分析结果E_i，j，评估安全控制措施的效能。